Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d’identification d’un sous-traitant externe était le point de départ de l’attaque. Il pense également que l’agresseur était lié au gang d’extorsion Lapsus$.
« Il est probable que l’attaquant ait acheté le mot de passe d’entreprise Uber du fournisseur sur le Web caché, après que l’appareil personnel de celui-ci ait été infecté par un logiciel malveillant, exposant ces informations d’identification », a déclaré lundi la société .
L’attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber du fournisseur. À chaque fois, le fournisseur a reçu une demande d’approbation de connexion à deux facteurs, qui bloquait initialement l’accès. Finalement, cependant, l’entrepreneur a accepté une demande de connexion et l’attaquant a pu se connecter avec succès.
Cette tactique a été utilisée avec succès par un attaquant plus tôt cette année contre un employé de Cisco Systems.
« De là, l’attaquant a accédé à plusieurs autres comptes d’employés, ce qui a finalement donné à l’attaquant des autorisations élevées sur un certain nombre d’outils, notamment G-Suite et Slack. L’attaquant a ensuite publié un message sur un canal Slack à l’échelle de l’entreprise, que beaucoup d’entre vous [les journalistes] ont vu, et a reconfiguré l’OpenDNS d’Uber pour afficher une image graphique aux employés sur certains sites internes. »
Uber pense que l’agresseur ou les agresseurs sont affiliés au gang Lapsus$, qui aurait été gravement affaibli en mars lorsque la police britannique a arrêté sept personnes âgées de 16 à 21 ans. En fin de compte, deux adolescents qui auraient piraté pour le gang ont été inculpés.
Lapsus$ a acquis une certaine notoriété pour avoir revendiqué des attaques contre le fabricant de cartes graphiques Nvidia, Samsung, Cisco Systems et le développeur de jeux en ligne Ubisoft. Microsoft a reconnu en mars avoir été touché par le gang.
Uber a reconnu que l’attaquant avait téléchargé certains messages internes de Slack, ainsi qu’accédé à ou téléchargé des informations à partir d’un outil interne que son équipe financière utilise pour gérer certaines factures. Ces téléchargements sont en cours d’analyse.
Elle admet également que l’attaquant a pu accéder au tableau de bord d’Uber sur HackerOne, où les chercheurs en sécurité signalent des bogues et des vulnérabilités contre de l’argent. Cependant, a déclaré Uber, tous les rapports de bogues auxquels l’attaquant a pu accéder ont été corrigés.
Jusqu’à présent, Uber dit qu’il n’a aucune preuve que l’attaquant a accédé à ses systèmes de production (c’est-à-dire accessibles au public), ou aux bases de données qu’il utilise pour stocker des informations sensibles sur les utilisateurs, comme les numéros de carte de crédit, les informations de compte bancaire de l’utilisateur ou l’historique des trajets. Uber a noté que la société crypte les informations de carte de crédit et les données de santé personnelles.
Les services Uber, Uber Eats et Uber Freight sont toujours opérationnels et fonctionnent correctement, a indiqué la société. « Parce que nous avons supprimé certains outils internes, les opérations de support client ont été peu impactées et sont maintenant revenues à la normale », a-t-elle ajouté.
Parmi les mesures qu’Uber dit avoir prises à la suite de cette violation :
- Tous les comptes d’employés qui ont été compromis ou potentiellement compromis ont été bloqués ou ont dû faire réinitialiser leur mot de passe.
- Les clés d’identification ont été alternées, réinitialisant ainsi l’accès à de nombreux services internes d’Uber.
- Les bases de code des applications ont été verrouillées pour empêcher toute nouvelle modification du code.
- Les employés qui accèdent aux outils de développement doivent s’authentifier à nouveau. Uber a également déclaré qu’elle « renforçait encore [ses] politiques d’authentification multifacteur (AMF) ».
- Une surveillance supplémentaire de l’environnement interne d’Uber a été ajoutée pour garder un œil encore plus attentif sur toute autre activité suspecte.
Adaptation et traduction française par Renaud Larue-Langlois.
